Kaspersky Threats

Classe principal: VirWare

Vírus e worms são programas maliciosos que se auto-replicam em computadores ou através de redes de computadores sem que o usuário esteja ciente; cada cópia subsequente de tais programas maliciosos também é capaz de se auto-replicar. Programas maliciosos que se espalham através de redes ou infectam máquinas remotas quando são ordenados pelo “proprietário” (por exemplo, Backdoors) ou programas que criam múltiplas cópias que não podem se auto-replicar não fazem parte da subclasse Vírus e Worms. A principal característica usada para determinar se um programa é ou não classificado como um comportamento separado dentro da subclasse Vírus e Worms é como o programa se propaga (ou seja, como o programa malicioso espalha cópias de si mesmo via recursos locais ou de rede). como arquivos enviados como anexos de email, através de um link para um recurso web ou FTP, através de um link enviado em uma mensagem ICQ ou IRC, via redes de compartilhamento de arquivos P2P, etc. Alguns worms são distribuídos como pacotes de rede; estes penetram diretamente na memória do computador, e o código do worm é então ativado. Os worms usam as seguintes técnicas para penetrar em computadores remotos e iniciar cópias de si mesmos: engenharia social (por exemplo, uma mensagem de email sugerindo que o usuário abre um arquivo anexado), explorando erros de configuração de rede (como copiar para um disco totalmente acessível) e explorando lacunas na segurança do sistema operacional e do aplicativo. Os vírus podem ser divididos de acordo com o método usado para infectar um computador: vírus de arquivo vírus do setor de inicialização vírus de macro vírus de script Qualquer programa dentro dessa subclasse pode ter funções adicionais de cavalo de Tróia. Também deve ser notado que muitos worms usam mais de um método para distribuir cópias via redes. As regras para classificar objetos detectados com múltiplas funções devem ser usadas para classificar esses tipos de worms.

Classe: Email-Worm

Email-Worms espalhado via email. O worm envia uma cópia de si mesmo como um anexo a uma mensagem de e-mail ou um link para seu arquivo em um recurso de rede (por exemplo, um URL para um arquivo infectado em um site comprometido ou um site de propriedade de hackers). No primeiro caso, o código do worm é ativado quando o anexo infectado é aberto (ativado). No segundo caso, o código é ativado quando o link para o arquivo infectado é aberto. Em ambos os casos, o resultado é o mesmo: o código do worm é ativado. Os worms de email usam uma variedade de métodos para enviar emails infectados. Os mais comuns são: usar uma conexão direta com um servidor SMTP usando o diretório de e-mail embutido no código do worm usando os serviços do MS Outlook usando as funções do Windows MAPI. Os worms de e-mail usam várias fontes diferentes para encontrar endereços de e-mail para os quais os e-mails infectados serão enviados: o catálogo de endereços do MS Outlook, um banco de dados de endereços WAB .txt armazenado no disco rígido: o worm pode identificar quais strings são e-mails de endereços de e-mail na caixa de entrada (alguns worms de e-mail até mesmo “respondem” a e-mails encontrados na caixa de entrada) Muitos worms de e-mail usam mais de uma das fontes listadas acima. Há também outras fontes de endereços de e-mail, como catálogos de endereços associados a serviços de e-mail baseados na web.

Plataforma: VBS

O Visual Basic Scripting Edition (VBScript) é uma linguagem de script interpretada pelo Windows Script Host. O VBScript é amplamente usado para criar scripts em sistemas operacionais Microsoft Windows.

Descrição

Detalhes técnicos

Esta é uma família de worms da Internet que usam diferentes tecnologias de infecção, dependendo de suas versões. Existem dois worms "básicos": "Lee.a" e "Lee.b". O primeiro se espalha através dos canais de IRC, e o segundo usa o MS Outlook para enviar e-mails infectados. Outras versões do worm são modificações e / ou combinações desses originais. Todos os worms são escritos em Visual Basic Script Language (VBS).

I-Worm.Lee.a

Este é um verme simples. Ele se espalha pelos canais de IRC enviando um arquivo infectado para computadores conectados ao mesmo canal que o computador infectado.

Quando o worm é ativado por um usuário, ele se copia para uma pasta do sistema Windows com o nome "McAffe.vbs". Em seguida, o worm localiza um diretório no qual o cliente mIRC está instalado e cria o arquivo "SCRIPT.INI" nesse diretório que contém comandos para o cliente mIRC. O worm grava, neste arquivo, comandos para enviar um arquivo infectado para cada computador conectado ao mesmo canal do computador infectado.

Depois de criar um arquivo "SCRIPT.INI", o worm cria uma marca no registro do sistema, assim, na hora seguinte, o worm não criará um arquivo "SCRIPT.INI" se esta marca estiver presente.

O worm não tem rotina de carga útil.

I-Worm.Lee.b

Este worm se espalha via e-mail, enviando mensagens infectadas de computadores infectados. Ao se espalhar, o worm usa o MS Outlook e se envia para todos os endereços que estão armazenados no Catálogo de Endereços do MS Outlook. Como resultado, um computador infectado envia o mesmo número de mensagens para quantos endereços forem mantidos na lista de contatos do MS Outlook.

O vírus funciona somente em computadores nos quais o WSH (Windows Scripting Host) está instalado. No Windwos 98 e no Windows 2000, o WHS é instalado por padrão. Para se espalhar, o worm acessa o MS Outlook e usa suas funções e listas de endereços disponíveis apenas no Outlook 98/2000, então o worm é capaz de se espalhar somente na instância em que uma dessas versões do MS Oulook está instalada.

Espalhando

O worm chega a um computador como uma mensagem de e-mail com um arquivo VBS anexado que é o próprio worm. A mensagem na versão original do worm contém o seguinte:

Assunto: Mail from: Lee@Buxtehude.de

Corpo:
O melhor Firewall no Windows é ...> BlackIce.

BUGFIX des Monats:

Windoof 2000.
Du kannst Dich, auf jedem Windoos 2000 Server als Gast einloggen.
E não há trotsmits em Zugriff auf fast alle gesperrten Data, a data normal
Anwender keinen Zugriff haben d # rfen.
Wie zb. morre Boot.ini ... ts..ts..ts

LEBENSHILFE ......:

99% aller Pc Probleme befinden sich zwischen Tastatur und Stuhl.
Morra, morra, tun. Die, die nicht k�nnen, simulieren.
O Ein Hacker é uma ferramenta que pode ser usada em vários idiomas. Dann immer mit Absicht.
Se você está em 1 de setembro de 2008, 8 dias atrás, em 9 de Monaten 3.

Por Euer Lee

Nome do arquivo anexado: Independance Day.vbs

Ao ser ativado por um usuário (clicando duas vezes em um arquivo anexado), o worm abre o MS Outlook, obtém acesso ao Catálogo de Endereços, obtém todos os endereços de lá e envia mensagens com a cópia anexada para todos eles. O assunto da mensagem, o corpo e o nome do arquivo anexado são os mesmos acima.

Para impedir que mensagens duplicadas sejam enviadas de um computador já infectado, o worm cria uma marca no registro do sistema. O worm não envia mensagens se esta marca estiver presente.

O worm não tem rotina de carga útil.

I-Worm.Lee.c

Esta variante do worm é muito próxima da variante "Lee.b". Tem algumas alterações e adições no seu código:

Uma mensagem infectada contém:

Assunto: Ncc1701e

Corpo:
Oi, isso é Ncc1701e falando com todos os Borg's na galáxia ..!
Você deve morrer ... Assassinato para todos os caras do Terranien ...
Nome do arquivo anexado: Picard.vbs

Quando o worm é ativado, ele se copia para o diretório do Windows com o nome "Picard.vbs" e registra esse arquivo no registro do sistema na seção autostart:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunStartTrek = "wscript.exe Picard.vbs"

Como resultado, o worm é ativado em cada inicialização do Windows.

Uma sequência de comentários é adicionada ao início do código:

'Worm Criado por Lee de Germany

I-Worm.Lee.d

Isso é híbrido das variantes "Lee.a" e "Lee.b". A mensagem infectada contém:

Assunto: Correio de: Osterhase@Ostern.de

Corpo:
Olá..
Verifique isso!
Esta é a nossa morte ..
Meu nome é Lee ..
Eu sou da Alemanha
E eu odeio Lucky2000 ... há roubou
meu verme de opinião. Eu também odeio Duke da DVL
Minha página favorita é Coderz.Net..Thx: Evul para hostet
meu site ... Har Har Har ..

Ein Geiler Trick von mir .....
via Telnet.

Esta é a última vez que você pode começar a usar o Windoof, dort auf den Men # punkt ausf # hren,
Redirecionar> Telnet <ein und dr # ckt Return.
Terminal de Microschrott Telnet ��net s in in F F F F
. Ihr baut jetzt eure Verbindung auf und geht auf Verbinden,
Danach auf Netzwerk-system und gebt zb ein:
mail.compuserve.com 25 (no caso de Compuserve verwendet,
entsprechendes dourado f # r T-Online, fornecedor de serviços de cozinha e fornecedores.
Der Server meldet sich dann mit einem Conectar um.
Ihr tippt dann "helo". Das Helo muens al erstes stehen, foi danach kommt, ist egal.
Jetzt schreibt ihr: Correio de:
Bill_Gates@Microsoft.com (agora é Beispiel) Ihr dr # ckt dann Return,
und schreibt den Em�f�nger: em�f�nger @ sein provider.de (endereço de e-mail exacte).
Wieder Return Taste e dann kommt morrer
Nachricht: 250 em�f�nger @ sein provider.de ... destinatário ok.
Jetzt nur "data" eintippen und Euren Text, den
morra E-mail haben soll e macht dann einen Punkt "." e não há nada de errado em devolver o gosto.
Und das war es dann schon, der Empfänger wird sich wundern ...: -) .....

Euer Lee
Nome do arquivo anexado: Osterhase.vbs

O warm tem string de comentário no final do código:

'Osterhase@Ostern.de de Lee

I-Worm.Lee.e

O mesmo que "Lee.d", mas adicionalmente se registra no registro do sistema na seção autostart:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunLee = "wscript.exe Ds9.vbs"

Como resultado, o worm é ativado em cada inicialização do Windows.

A mensagem infectada contém:

Assunto: Hi check This ...
Corpo: Olá..seu jogo está terminado..Por Q de Lee
Nome do arquivo anexado: Ds9.vbs

I-Worm.Lee.f

Esta é uma ligeira variante polimórfica de "Lee.c". Ele contém uma rotina que altera aleatoriamente nomes de variáveis no código do worm.